Копіювання і вставка = збанкрутувати? Хакер зловив 1,25 мільйона, використовуючи 0,001 USDT, а записи про перекази стали фатальною пасткою!

Згідно з повідомленням Cyvers Alerts від 3 листопада 2025 року про випадок атаки адресного отруєння, одна жертва зазнала значних втрат через помилкове переведення понад 1,2 мільйона USDT на адресу, контрольовану нападником, що відображає постійну загрозу атак адресного отруєння в сфері криптовалют та високо схожі операційні моделі.

🚨 Деталі цієї атаки

Зловмисник спочатку надіслав жертві невелику транзакцію на 0,001 USDT, що є типовим методом "отруєння адреси", метою якого є створення фальшивих записів транзакцій, щоб спонукати жертву помилково використовувати схожу адресу, яка контролюється зловмисником, при копіюванні адреси. Через 4 хвилини після початкової транзакції жертва ненавмисно перевела 1,256,000 USDT на адресу зловмисника. Кошти залишалися у гаманці зловмисника протягом 6 годин, ймовірно, щоб уникнути системи моніторингу в реальному часі, після чого зловмисник обміняв кошти на інші активи (такі як ETH або стейблкоїни) за 30 хвилин до того, як інцидент став відомим, щоб ускладнити їх відстеження і заморожування. Цей процес атаки вкрай схожий на історичні випадки, які експлуатують недбалість користувачів та схожість адрес для шахрайства.

🔍 Загальні моделі атаки на адреси

Адресне отруєння (Address Poisoning) є ретельно спланованою соціальною інженерною атакою, основна ідея якої полягає в використанні відкритості блокчейн-транзакцій. Зловмисники відстежують активність в мережі, визначають високодохідні адреси, а потім генерують адреси гаманців, які мають високу схожість з першим і останнім символами адреси жертви, і через відправлення нульових або дуже малих транзакцій (наприклад, 0 USDT або 0.001 USDT) забруднюють історію транзакцій жертви. Коли користувач надсилає подальші перекази, якщо він не перевіряє повний хеш адреси, а лише покладається на порівняння префіксів і суфіксів, він може помилково переказати кошти на адресу зловмисника. Такі атаки набирають популярності у 2025 році, наприклад, у лютому один користувач втратив 68,1 тисячі USDT через подібну схему, а в травні один кит-адрес отримав від одного й того ж шахрайського адреса 2,6 мільйона USDT протягом трьох годин.

⚠️ Виклики безпеки за атакою

Успішна атака на отруєння адреси виявила численні вразливості в сучасній екосистемі криптовалют. З одного боку, користувачі не мають достатньої обізнаності про безпеку, особливо при обробці великих переказів, коли через тиск часу або недоліки в дизайні інтерфейсу вони можуть пропустити повну перевірку адреси. З іншого боку, незворотність транзакцій у блокчейні ускладнює повернення коштів, як тільки вони виведені, а зловмисники, використовуючи крос-ланцюгові обміни (наприклад, перетворення USDT в ETH) або змішування коштів на DeFi платформах, ще більше ускладнюють відстеження коштів. Хоча деякі команди безпеки, такі як BlockSec, можуть спробувати відстежити крос-ланцюгові кошти за допомогою технології "цілісної карти коштів", миттєвість і анонімність атак все ще роблять превенцію важливішою за виправлення.

🛡️ Рекомендації щодо захисту користувачів та реагування

Щоб знизити такі ризики, користувачі повинні вжити багаторівневих заходів захисту. По-перше, перед будь-яким переказом обов'язково вручну перевірте повний хеш-адресу одержувача (а не лише перші та останні символи) та використовуйте функцію адресної книги гаманця для збереження звичних адрес. По-друге, увімкніть налаштування затримки підтвердження транзакцій, щоб зарезервувати вікно для повторної перевірки для великих переказів. Для інституційних користувачів можна запровадити механізм багатопідпису, який вимагатиме, щоб кілька уповноважених осіб спільно підписали транзакцію. Якщо вже сталася атака, необхідно терміново зафіксувати хеш транзакції, адресу атакуючого та іншу інформацію через блокчейн-браузер і зв'язатися з компанією безпеки (такою як Cyvers Alerts або BlockSec), щоб спробувати заморозити кошти. Одночасно спільний чорний список зловмисних адрес також може ефективно стримувати поширення подібних атак.

💎 Підсумки та індустріальні висновки

Ця втрата в розмірі 1,256,000 доларів США ще раз підкреслює низькі витрати та високий прибуток атак адресного отруєння. З підвищенням рівня прийняття криптовалюти такі атаки можуть продовжувати націлюватися на недосвідчених особистостей або інституційних користувачів. Галузь повинна сприяти більш суворим стандартам перевірки адрес гаманців (таким як обов'язкове відображення повної адреси або інтеграція плагінів ризику) і посилити освіту користувачів, підкреслюючи принципи "повільна перевірка, швидке скасування". Лише поєднання технологічних оновлень та підвищення свідомості може суттєво зменшити простір для існування атак отруєння.